Discussion :

[robia77]

Bonjour,
j'ai une appli web qui se presente sous la forme suivante :
partie 1 : accessible à tous
partie 2 : nécessite d'être enregistré.

La partie 1 comporte de nombreuses pages, chacune ayant en header une form de connexion.
La partie 2 comporte une page de login normale, ainsi que moults autres pages protégées.

Les utilisateurs parcourant la partie 1 sont parfois amenés à se connecter à la partie 2, ce qui les emmène directement sur la page de login. (jusque là c'est normal ^^)

En gros, ma page de login marche bien, mais dès que je suis dans la partie 1et que je remplie la form de connexion => ça me balance une erreur :

Etat HTTP 400 - Référence directe à la form de connexion (form login page) invalide
description La requête envoyée par le client était syntaxiquement incorrecte (Référence directe à la form de connexion (form login page) invalide).

Dans le web.xml j'ai bien les security constraint qu'il faut (sur la partie 2 ) et la partie <login-config> que voici :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/partie2/login.jsp</form-login-page>
            <form-error-page>
                /partie2/login.jsp?error=1
            </form-error-page>
        </form-login-config>
    </login-config>

Mais je ne vois pas du tout comment faire pour autoriser la partie 1 à se connecter directement à partie privée (partie 2).

Je tiens à préciser que ça marche très bien en local (connexion ok dans les 2 cas) mais pas du tout en ligne.

Si vous avez une idée, je prend ^^

[robia77]

Ok, on me dit dans l'oreillette que c'est impossible !
Et voui, il va donc falloir passer par une servlet !

[tchize_]

tu ne peux pas référencer directement le formulaire de connection (un choix de sécurité chez sun, c'est dans les specs). Donc tu ne peux pas simplement afficher login.jsp. Tu n'ira sur le formulaire de connection *que* quand le serveur J2EE te le demande. La solution la plus simple, c'est de faire directement un lien vers la ressource protégée, pour y accéder le user passera alors inévitablement par le login.


PS: pas besoin de servlet pour tout ça.

[robia77]

Ben le soucis c'est que mon client veut impérativement un formulaire de login sur chaque page disponible dans la partie publique. Donc il faut que je trouve un autre moyen ... affaire à suivre...

[tchize_]

Ben le soucis c'est que mon client veut impérativement un formulaire de login sur chaque page disponible dans la partie publique.

Ce n'est pas compatible avec les spécification J2EE sur la sécurité et l'authentification. Par contre si tu veux garder le gros de l'authentification J2EE (security constraints etc) sans trop te casser la tête, il existe

http://securityfilter.sourceforge.net/

qui, en fait, se charge de l'authentification à la place du conteneur mais utilise les même règles. Il est cependant plus souple, notamment il permet les formulaire de login à la demande utilisateur
Je ne l'ai jamais utilisé mais c'est assez réputé pour être efficace et facile à utiliser.

[robia77]

Merci pour ce lien, je jetterais un oeil.
J'abandonne là la tentative de contournement, trop couteux en termes de dev.